Zombie ผีดิบซอฟต์แวร์

Topic นี้อาจดูเหมือนหนังผีสยองขวัญ แต่ที่กล่าวถึงนี้ที่เรียกว่า Zombie คือ ซอฟต์แวร์ผีดิบที่ฝั่งในเครื่องคอมพิวเตอร์เราเราท่านๆ โดยไม่รู้ตัว ซึ่งนับวันยิ่งมี Zombie มากขึ้นเรื่อยๆ ตามอัตราการเจริญเติบโตของเทคโนโลยีและอินเตอร์เน็ตความเร็วสูง ในประเทศที่พัฒนาแล้วที่ผมได้รับทราบข่าวถึงขั้นต้องจัดวัน Clean Day เพื่อล้าง Zombie จากเครื่องคอมพิวเตอร์ของผู้ใช้งานทั่วไปเลยทีเดียวนะครับ
ซอฟต์แวร์ผีดิบที่ฝั่งในเครื่องของเรา นั้นเป็นอย่างไรนั้นจะอธิบายดังนี้ครับ Zombie มักเป็นซอฟต์แวร์ที่เขียนฝั่งเพื่อใช้เป็นเครื่องมือในการโจมตีระบบ หรือเป็นการส่งข้อมูลอันไม่พึ่งประสงค์และทำงานแทนผู้บังคับเครื่องนี้ไว้อาจกล่าวได้ว่าเป็นเครื่องทาส ที่พร้อมจะทำอะไรก็ได้เมื่อมีคำสั่ง
ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
– เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
– เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
– เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า “Botnet”

ในขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

และเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ ได้
เหตุการณ์นี้เป็นเหตุการณ์จริง ที่พบในการทดสอบ SRAN Security Center ในสถานที่หนึ่ง
เมื่อทำการเฝ้าระวังภัยคุกคามผ่านหน้าจอควบคุมอุปกรณ์ SRAN พบว่า

รูปที่ 1 ระบบเครือข่ายนี้มีความเสี่ยงภัยคุกคามอยู่ระดับกลาง และมีขนาดการใช้งาน Throughput โดยรวมอยู่ประมาณ 48 Mbps ซึ่งจัดได้ว่าเป็นเครือข่ายขนาดใหญ่
เมื่อเราพิจารณาเหตุการณ์ทั่วไป ทั้งการใช้งานปกติและการใช้งานที่มีความเสี่ยง่พบว่า

รูปที่ 2 มีการ ARP spoof ค่า MAC Address มีการเปิดเว็บใช้งานเว็บผ่าน Proxy Caching พบลักษณะการใช้งานตรงกับลักษณะ P2P ซอฟต์แวร์ ซึ่งในที่อาจเป็นการเล่นเกมส์ผ่านอินเตอร์เน็ตก็ได้ มีลักษณะการใช้งานอีเมลล์ และสำคัญคือพบความผิดปกติที่อาจเป็น Zombie
ลักษณะเหตุการณ์ที่อาจเป็น Zombie คือ พบ Trojan Win32 Agent.ALT C&C Checkin Connection in Progress และ Virus Zlob User Agent ที่พยายาม Update ข้อมูลอยู่

เมื่อทำการวิเคราะห์เพื่อดูลักษณะ Zombie Trojan Win32 Agent.ALT C&C Checkin Connection in Progress
พบว่า

รูปที่ 3 Trojan ตัวนี้ถูก Remote จากอินเตอร์เน็ตเพื่อเข้าสู่เครื่อง IP ภายในองค์กรผ่าน Web Proxy Caching ซึ่งพบว่ามี 3 IP ภายในด้วยกันที่เป็น Zombie อยู่ เริ่มต้นช่วงเวลา 01:47 จนถึงช่วงเวลา 03:47 เหมือนเป็นสคิปอัตโนมัติเพื่อส่งค่าเข้าควบคุมเครื่องดังกล่าว

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

รูปที่ 4 เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

และเมื่อดูประวัติ IP ภายในที่ติด Zombie พบว่า

ีรูปที่ 5 พบพฤติกรรมการใช้งาน IP ภายในดังกล่าวมีเหตการณ์ทั้งหมด 6144 ครั้ง ประกอบด้วย การเปิดเว็บทั้งผ่าน Web Caching และเปิดเว็บโดยตรงกว่า 5 พันครั้งตั้งแต่ช่วงเวลาตี 3 จนถึง 6 โมงเช้า
และติด Virus Zlob User agent ซึ่งอาจเป็น Zombie จำนวน 2 ครั้งในช่วงเวลา 05:23

เมื่อทำการศึกษาซอฟต์แวร์ผีดิบตัวนี้พบว่ามีการฝั่งค่าในระบบปฏิบัติการเครื่องทำให้ยากแก่การตรวจจับและการแก้ไข

Memory Modifications

  • There were new processes created in the system:
Process Name Process Filename Main Module Size
eaqb.exe %Temp%ac8zt2eaqb.exe 167,936 bytes
neltabxw.exe %Temp%ac8zt2neltabxw.exe 98,304 bytes
eaqb.exe %Windir%eaqb.exe 167,936 bytes
lprn32.exe %Temp%lprn32.exe 106,496 bytes
neltabxw.exe %Windir%neltabxw.exe 98,304 bytes
media.php %Temp%media.php 196,608 bytes
226[1].exe %Temp%226[1].exe 106,496 bytes
  • The following modules were loaded into the address space of other process(es):
Module Name Module Filename Address Space Details
wpvmqosg.dll %Windir%wpvmqosg.dll Process name: explorer.exe
Process filename: %Windir%explorer.exe
Address space: 0x17B0000 – 0x180C000
xvorfwbd.dll %Windir%xvorfwbd.dll Process name: explorer.exe
Process filename: %Windir%explorer.exe
Address space: 0x1950000 – 0x1991000

รายละเอียดสามารถอ่านเพิ่มเติมได้ที่ http://www.threatexpert.com/report.aspx?uid=2fdf0f89-d264-461c-b579-14714be6621f

นนทวรรธนะ สาระมาน
Nontawattana Saraman